学习日志8.7--防火墙安全策略

已于 2024-08-08 18:14:47 修改
阅读量947 收藏 18
点赞数 15
文章标签: 学习
于 2024-08-07 23:18:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62560069/article/details/141001688
版权

安全区域之间的数据流动方向,是根据安全级别的优先级来定义的,如果是从优先级高的地方到优先级低的地方,比如说从Local(100)发送到Trust(85)是outbound,如果是从优先级低的地方到优先级高的地方,比如说从untrust(5)到trust(85)是inbound。在任何两个安全区域之间都能设置安全关卡,通过关卡来控制流量的允许接入还是拒绝。我们把这个安全关卡叫做“安全策略”。那再默认情况下安全关卡(安全策略)是拒绝的。

通过一个试验来体会一下。

实验拓扑图结构,将PC1划分在Trust的安全区域上,将PC2划分在Untrust的安全区域上设置PC2的网关IP是192.168.2.254

命令:[FW01]display zone,查看防火墙的安全区域的配置情况
需要把g1/0/1接口添加到Trust的安全区域上,直接把之前自定义的安全区域test1删除
已经删除,将接口g1/0/1添加到Trust安全区域上然后再防火墙的g1/0/2接口上配置IP地址信息,再添加到防火墙的Untrust安全区域上。
添加完毕。

配置完以后,如果让PC2去ping他的网关,我们知道从上一节的结果来看是ping不通的,因为和g1/0/2划分在Local的安全区域他具有自己的安全策略。相当于从untrust(5)区域传输到Local(100)区域,是从低优先级到高优先级的流量传输,是inbound,在进入两个区域之间有安全关卡又叫做安全策略。而安全策略在默认情况下是deny(拒绝)的,需要通过配置来把他打开。防火墙的loacl在inbound方向的流量控制是通过service-manage来实现。

在service-manage的控制下能实现多种流量的传输,像http、https、ping、snmp等的流量传输
命令:[FW01-GigabitEthernet1/0/2]service-manage ping permit,允许ping的流量传输
然后进行PC2ping防火墙的测试

开启这个ping的安全策略之后,主机PC2就可以开始ping防火墙。

说明现在可以从trust或则untrust通过inbound的流量方向访问到local,但是现在不能通过outbound的流量方式从local访问到trust或则是untrust。防火墙pingPC1,流量以outbound的方式从local到trust不通防火墙pingPC2,流量以outbound的方式从local到untrust不通。

所以说service-manage只是控制local的inbound方向的安全策略。service-manage是表示接口相关的安全区域的网络内的主句允许在Inbound方向访问Local区域。

通过这个实验来引出介绍防火墙的安全策略

我们说防火墙安全策略的构成,一个流量在安全策略中,如果满足安全策略的条件,就允许通过,否则就拒绝直接丢弃。允许通过的流量在进行深度的检测(配置文件)。

安全策略是在防火墙的不通安全区域的不通方向之间做流量管控,流量进入防火墙之后,防火墙会根据安全策略进行流程执行,按照配置的顺序进行优先匹配,匹配的优先顺序也可以通过命令来进行调整。一旦匹配到策略,就直接根据策略进行动作操作,允许还是拒绝,不会再匹配到下一策略

如果说在防火墙开机之后没有设置做过任何安全策略,或者说已经设置安全策略但是没有匹配,最后会匹配到缺省动作,匹配到默认的安全策略,默认的安全策略是deny(拒绝)的。但是默认策略是可以进行修改的。命令:[FW01]display security-policy rule all,查看当前配置的安全策略规则规则ID0,动作是默认,状态是开启,操作是拒绝
命令:[FW01]security-policy,进入安全策略视图
查看策略没有配置任何策略。
命令:[FW01-policy-security]default action permit,修该默认动作是允许
修改之后默认状态变为了premit(允许)。

下面用防火墙去ping主机
用防火墙去pingPC1流量是从local到trust方向是outbound方向,现在可以ping成功
用防火墙去pingPC2流量从local到untrust方向是outbound方向,现在可以ping成功。

再用两个主机互相ping

也能互相通信。

说明再没有配置安全策略的时候会匹配到默认策略,而默认策略一般默认的动作是deny拒绝,现在通过修改默认配置,可以让默认策略的动作变为允许,相当于将所有方向的关卡打开不设置拦截。

一般在整个的安全项目调试的的时候,将防火墙的安全策略打开让他的默认动作是允许,这样在调试路由的时候,就能知道到底是不是路由的问题导致的互相之间无法进行通信,如果不通就是路由器相关方面的问题,和防火墙的安全策略就没有关系,等路由调试好之后,将默认的安全策略动作改为拒绝就好了。

m0_62560069
关注
  • 15
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP框架详解 - symfony框架
丁爸的博客
07-28 1052
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
openssh8.7p1.tar.gz
09-10
《OpenSSH 8.7p1在CentOS 7.9系统中的编译与安全实践》 OpenSSH,全称为Open Source Secure Shell,是用于网络服务的安全协议,它提供了加密的网络通信,使得数据传输更加安全。在Linux环境中,OpenSSH广泛应用于...
学习日志8.7--Security Zone防火墙安全区域
m0_62560069的博客
08-07 618
发现这个主机所在的网络是Trust的区域,而这个接口g1/0/1是属于Local的区域,在主机通信的时候,相当于从Trust的区域去访问Local的区域。注意,防火墙自己的接口也有安全区域,叫做Local,意味着防火墙的接口是属于Local的安全区域。命令:[FW01-zone-test1]add interface GigabitEthernet 1/0/1,这里是给自定义的安全区域添加接口为g1/0/1,但是在默认的Trust安全区域内已经添加了g1/0/1,意味着一个接口只能划分在一个安全区域。
Linux学习笔记-B站韩顺平
热门推荐
m0_52041525的博客
02-26 1万+
linux 是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认可,
安全扫描五项简介
晨港飞燕的专栏
12-09 673
项目安全监测一般分为五项:主机漏扫,主机基线,代码检测,渗透测试,web扫描检测顺序,主机漏扫,主机基线,代码检测,渗透测试和web扫描(该两项在代码就检测修复或者没问题后进行,代码检测项目组完成)
Notes Twenty one days-渗透攻击-红队-权限提升
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
《计算机网络》学习笔记
Leon_Chenl的博客
05-23 922
因特网是一个世界范围的计算机网络,即它是一个互联了遍及全世界数十亿计算设备的网络。所有这些设备(桌面PC、Linux、智能手机、电视、游戏机等)都称为主机(host)或端系统(end system)。端系统通过**通信链路(communication link)和分组交换机(packet switch)连接到一起。链路的传输速率(transmission rate)**以比特/秒(bit/s,或bps)度量。
网络安全基础知识面试题库
Algo_x的博客
03-06 1万+
1.基于路由器的攻击手段 源IP地址欺骗式攻击 入侵者从外部传输一个伪装成来自内部主机的数据包(数据包的IP是内网的合法IP) 丢弃所有来自路由器外端口,却使用内部源地址的数据包 源路由攻击 入侵者让数据包循着一个对方不可预料的路径到达目的地,以逃避安全系统的审核 丢弃所有包含源路由选项的数据包 源路由 是指在数据包中还要列出所要经过的路由。某些路由器对源路由包的反应是使用其指定的路由,并使用其反向路由来传送应答数据。这就使一个***者可以 假冒一个主机的名义通过一个特殊的路径来获得某...
flink部署-1.13
第一片心意的博客
12-04 2027
本博客为 flink 1.13 官网中 flink 部署部分内容的翻译整理。
SpringCloud学习笔记
hanpiyo的博客
03-15 644
SpringCloud Ribbon 底层采用了一个拦截器,拦截了 RestTemplate 发出的请求,对地址做了修改。拦截我们的请求 http://userservice/user/1会从请求url中获取服务名称,也就是 user-service根据 user-service 到 eureka 拉取服务列表eureka 返回列表,localhost:8081、localhost:8082IRule利用内置负载均衡规则,从列表中选择一个,例如 localhost:8081。
防火墙与因特网安全
08-14
目录 译者序 前言 第一部分 入 门 第1章 安全问题概述 1 1.1 为什么要研究安全问题 1 1.2 选择安全策略 3 1.3 安全网络对策 4 1.3.1 主机安全 4 1.3.2 网关和防火墙 6 1.3.3 保护口令...
防火墙相关
04-24
1.2 选择安全策略 3 1.3 安全网络对策 4 1.3.1 主机安全 4 1.3.2 网关和防火墙 6 1.3.3 保护口令 7 1.3.4 加密 9 1.4 计算机安全的道德规范 10 1.5 警告 12 第2章 TCP/IP概述 13 2.1 不同的协议层 13 2.1.1 IP 13 ...
SQL注入攻击与防御(安全技术经典译丛)
02-19
 9.4.2 提高Web服务器日志的冗余  9.4.3 在独立主机上部署Web服务器和数据库服务器  9.4.4 配置网络访问控制  9.5 本章小结  9.6 快速解决方案  9.7 常见问题解答 第10章 参考资料  10.1 概述  10.2...
redhat linux教材20课程学习文档
04-24
18.9.3 防火墙iptables 18.10 简单攻击检测 18.11 使用安全工具 18.11.1 saint 18.11.2 SSH 18.11.3 tcplogd 18.11.4 swatch 18.11.5 tcpdump 18.11.6 whois 第十九章 系统优化和核心参数调整 19.1 系统性能与优化...
VTK-vtkStructuredGrid学习
weixin_69505365的博客
08-14 405
可以理解为单元格顺序沿着坐标轴排列,但是每个单元格可以不一样。维度理解为X/Y/Z方向的点数,如草图所示分别是4,3,1。此时只提供了12个点,只能构造一层,5.点图、线图、面图如下,对应行的代码改一下出现不同效果图。7.增加Z方向维度,点也要增加,点序保持一致。6.点可以不在同一个平面,随机改变点Z数值。2.获取这些点信息,点顺序要严格按照图示。直接赋值第一层的12个点,改一下Z值。所以Z方向维度是1,不能是其他数据。1.使用CAD随意绘制个网格草图。4.将上面的网格显示出来。
fme处理空间数据入门v0
weixin_43229258的博客
08-13 771
本教程是最最最基本的fme处理空间数据内容,给新同事介绍我以前是怎么干活用的,基本啥有用的东西。本教程主要说如何在 FME Workbench中创建模板文件(一般我们把fme写的工作空间就叫模板),教程里面主要是利用GIS数据。按照分步说明操作,1.了解如何从读取数据;2.添加转换器以在空间上过滤数据;3.将过滤后的数据写入 Esri Shapefile;4.如何运行模板文件。
【OCR 学习笔记】二值化——全局阈值方法
TeamLee的博客
08-14 877
该文介绍了图像二值化操作中的全局阈值方法,包括固定阈值方法和Otsu算法(最大类间方差法)。
CVPR2024 | PromptAD: 仅使用正常样本进行小样本异常检测的学习提示
最新发布
08-16 990
本文提出的PromptAD模型结构如图2所示。PromptAD建立在VV-CLIP之上,其视觉编码器用于提取全局和局部的特征。本文提出的语义串联(SC)用来设计提示。具体来说,将N个可学习的普通前缀与目标名称串联起来获得普通提示(NPs),然后将这N个普通提示分别与M个手动设置的异常后缀和L个可学习的异常后缀串联,以获得N×M个异常提示(MAPs)和N×L个可学习的异常提示(LAPs)。视觉特征和提示特征用于通过对比损失和本文提出的显式异常边界(EMA)损失来完成提示学习
qemu-ga-7.5.8.7-1.x86_64 has missing requires of rusr/bin/python
06-09
这个错误可能是由于 `qemu-ga` 软件包依赖于系统中未安装的 Python 版本引起的。在这种情况下,您可以尝试以下解决方法: 1. 确认系统中是否已经安装了 Python。您可以在终端中运行以下命令来检查: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值